Quels sont les fichiers csrss.exe, nvvsvc.exe, NvXDSync.exe etc. Résolu/Fermé

Question

Bonjour,  
J'ai récemment remarqué dans mon gestionnaire de tâches des processus que je n'avais pas remarqué auparavant ou tout simplement pas prêté attention dont: csrss.exe, nvvsvc.exe, NvXDSync.exe et winlogon.exe 
Ces fichiers ne détiennent pas de description contrairement aux autres du gestionnaire de tâches, je vois sur certains forums qu'il s'agit de virus et sur certains autres qu'il s'agit de processus normaux. Si ce sont des virus, j'aimerais profiter de votre aide pour m'en débarrasser. 
Merci d'avance!

Malekal_morte- · Accepted Answer

Salut,

Ca dépend de l'emplacement, mais si tu vois pas la description, ça doit être à cause de l'UAC.
Je pense pas que tu sois infecté. 


pour voir :


Faire un scan OTL pour diagnostiquer les programmes qui tournent et déceler des infections :

Tu peux suivre les indications de cette page pour t'aider : https://www.malekal.com/tutorial-otl/    

* Télécharge http://www.geekstogo.com/forum/files/file/398-otl-oldtimers-list-it/ sur ton bureau.    
(Sous Vista/Win7, il faut cliquer droit sur OTL et choisir Exécuter en tant qu'administrateur)    

Dans le cas d'Avast!, ne pas lancer le programme dans la Sandbox (voir lien d'aide ci-dessus).

* Lance OTL    
* En haut à droite de Analyse rapide, coche "tous les utilisateurs"
* Sur OTL, sous Personnalisation, copie-colle le script ci-dessous :    



netsvcs   
msconfig   
safebootminimal   
safebootnetwork   
activex   
drivers32   
%ALLUSERSPROFILE%\Application Data\*.   
%ALLUSERSPROFILE%\Application Data\*.exe /s   
%APPDATA%\*.   
%APPDATA%\*.exe /s   
%temp%\.exe /s   
%SYSTEMDRIVE%\*.exe   
%systemroot%\*. /mp /s
%systemroot%\system32\consrv.dll
%systemroot%\system32\*.dll /lockedfiles   
%systemroot%\Tasks\*.job /lockedfiles   
%systemroot%\system32\drivers\*.sys /lockedfiles   
%systemroot%\System32\config\*.sav   
/md5start   
explorer.exe   
winlogon.exe   
wininit.exe   
/md5stop
HKEY_CLASSES_ROOT\CLSID\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1}\InprocServer32 /s
HKEY_LOCAL_MACHINE\SYSTEM\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters /s
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\SubSystems /s
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\AppCertDlls /s
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\ProfileList /s
CREATERESTOREPOINT   
nslookup www.google.fr /c   
SAVEMBR:0   
hklm\software\clients\startmenuinternet|command /rs   
hklm\software\clients\startmenuinternet|command /64 /rs    



* Clique sur le bouton Analyse.

NE PAS COPIER/COLLER LE RAPPORT ICI - LIRE JUSQU'AU BOUT
* Quand le scan est fini, utilise le site http://pjjoint.malekal.com/ pour envoyer le rapport OTL.txt (et Extra.txt si présent), donne le ou les liens pjjoint qui pointent vers ces rapports ici dans un nouveau message.

Malekal_morte- · Answer

Ils sont légitimes.
Par contre, tu as plein de programmes parasites (Offerbox, BrowserProtection etc).

Télécharge http://general-changelog-team.fr/telechargements/logiciels/viewdownload/75-outils-de-xplode/28-adwcleaner AdwCleaner ( d'Xplode ) sur ton bureau.  
Lance le, clique sur [Suppression] puis patiente le temps du scan (Pas besoin de faire de Recherche avant).  
Une fois le scan fini, un rapport s'ouvrira. Poste moi son contenu dans ta prochaine réponse.  

Note : Le rapport est également sauvegardé sous C:\AdwCleaner[S1].txt

sengasal · Answer

Merci beaucoup pour ta réponse :D 

Avant de lire ta réponse , bien que très rapide , je me suis mis a désinstaller beaucoup de programmes que je n'utilisait pas dans mon ordinateur (tels que offerbox par exemple ) .

Voici donc le texte apparu après que AdwCleaner ai redémarré mon ordinateur: 
# AdwCleaner v2.108 - Rapport créé le 27/01/2013 à 12:12:39
# Mis à jour le 24/01/2013 par Xplode
# Système d'exploitation : Windows 7 Home Premium Service Pack 1 (64 bits)
# Nom d'utilisateur : Adriano - ADRIANO-HP
# Mode de démarrage : Normal
# Exécuté depuis : C:\Users\Adriano\Downloads\AdwCleaner-2.108.exe
# Option [Suppression]


***** [Services] *****


***** [Fichiers / Dossiers] *****

Dossier Supprimé : C:\Program Files (x86)\Conduit
Dossier Supprimé : C:\ProgramData\Babylon
Dossier Supprimé : C:\ProgramData\boost_interprocess
Dossier Supprimé : C:\Users\Adriano\AppData\Local\Conduit
Dossier Supprimé : C:\Users\Adriano\AppData\LocalLow\BabylonToolbar
Dossier Supprimé : C:\Users\Adriano\AppData\LocalLow\Conduit
Dossier Supprimé : C:\Users\Adriano\AppData\LocalLow\PriceGong
Dossier Supprimé : C:\Users\Adriano\AppData\Roaming\Babylon
Dossier Supprimé : C:\Users\Adriano\AppData\Roaming\OfferBox
Fichier Supprimé : C:\END
Fichier Supprimé : C:\Program Files (x86)\Mozilla Firefox\searchplugins\babylon.xml
Fichier Supprimé : C:\user.js
Supprimé au redémarrage : C:\ProgramData\BrowserProtect

***** [Registre] *****

Clé Supprimée : HKCU\Software\AppDataLow\Software\Conduit
Clé Supprimée : HKCU\Software\AppDataLow\Software\ConduitSearchScopes
Clé Supprimée : HKCU\Software\AppDataLow\Software\Crossrider
Clé Supprimée : HKCU\Software\AppDataLow\Software\PriceGong
Clé Supprimée : HKCU\Software\AppDataLow\Software\SmartBar
Clé Supprimée : HKCU\Software\Conduit
Clé Supprimée : HKCU\Software\Cr_Installer
Clé Supprimée : HKCU\Software\DataMngr
Clé Supprimée : HKCU\Software\DataMngr_Toolbar
Clé Supprimée : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\bProtectSettings
Clé Supprimée : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{97F2FF5B-260C-4CCF-834A-2DDA4E29E39E}
Clé Supprimée : HKCU\Software\Offerbox
Clé Supprimée : HKCU\Software\Softonic
Clé Supprimée : HKCU\Software\5d53d78fe13fef15
Clé Supprimée : HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{0ECDF796-C2DC-4D79-A620-CCE0C0A66CC9}
Clé Supprimée : HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{2FA28606-DE77-4029-AF96-B231E3B8F827}
Clé Supprimée : HKLM\Software\Babylon
Clé Supprimée : HKLM\SOFTWARE\Classes\AppID\{BDB69379-802F-4EAF-B541-F8DE92DD98DB}
Clé Supprimée : HKLM\SOFTWARE\Classes\Prod.cap
Clé Supprimée : HKLM\SOFTWARE\Classes\Toolbar.CT2504091
Clé Supprimée : HKLM\SOFTWARE\Classes\Toolbar.CT2537338
Clé Supprimée : HKLM\Software\Conduit
Clé Supprimée : HKLM\Software\DataMngr
Clé Supprimée : HKLM\SOFTWARE\Microsoft\Tracing\Giant Savings Extension_RASAPI32
Clé Supprimée : HKLM\SOFTWARE\Microsoft\Tracing\Giant Savings Extension_RASMANCS
Clé Supprimée : HKLM\SOFTWARE\Microsoft\Tracing\Giant Savings Extension-InternalInstaller_RASAPI32
Clé Supprimée : HKLM\SOFTWARE\Microsoft\Tracing\Giant Savings Extension-InternalInstaller_RASMANCS
Clé Supprimée : HKLM\SOFTWARE\Microsoft\Tracing\MyBabylontb_RASAPI32
Clé Supprimée : HKLM\SOFTWARE\Microsoft\Tracing\MyBabylontb_RASMANCS
Clé Supprimée : HKLM\SOFTWARE\Microsoft\Tracing\SweetIM_RASAPI32
Clé Supprimée : HKLM\SOFTWARE\Microsoft\Tracing\SweetIM_RASMANCS
Clé Supprimée : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\PreApproved\{11111111-1111-1111-1111-110211181110}
Clé Supprimée : HKLM\Software\Offerbox
Clé Supprimée : HKLM\SOFTWARE\Wow6432Node\5d53d78fe13fef15
Clé Supprimée : HKLM\SOFTWARE\Wow6432Node\Classes\CLSID\{3C471948-F874-49F5-B338-4F214A2EE0B1}
Clé Supprimée : HKLM\SOFTWARE\Wow6432Node\Classes\CLSID\{E46C8196-B634-44A1-AF6E-957C64278AB1}
Clé Supprimée : HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{11111111-1111-1111-1111-110211181110}
Clé Supprimée : HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{21111111-1111-1111-1111-110211181110}
Clé Supprimée : HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes\{2FA28606-DE77-4029-AF96-B231E3B8F827}
Clé Supprimée : HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{2FA28606-DE77-4029-AF96-B231E3B8F827}
Valeur Supprimée : HKCU\Software\Microsoft\Internet Explorer\SearchScopes [bProtectorDefaultScope]
Valeur Supprimée : HKCU\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser [{EEE6C35B-6118-11DC-9C72-001320C79847}]

***** [Navigateurs] *****

-\ Internet Explorer v9.0.8112.16421

Remplacé : [HKCU\Software\Microsoft\Internet Explorer\Main - Start Page] = hxxp://search.babylon.com/?affID=110825&tt=0112_7&babsrc=HP_ss&mntrId=6e9fe33d00000000000084c9b2758776 --> hxxp://www.google.com

-\ Google Chrome v24.0.1312.56

Fichier : C:\Users\Adriano\AppData\Local\Google\Chrome\User Data\Default\Preferences

Supprimée [l.8] : homepage = "hxxp://search.babylon.com/?affID=110825&tt=0112_7&babsrc=HP_ss&mntrId=6e9fe33d000[...]
Supprimée [l.1719] : homepage = "hxxp://search.babylon.com/?affID=110825&tt=0112_7&babsrc=HP_ss&mntrId=6e9fe33d000000[...]

*************************

AdwCleaner[S1].txt - [5023 octets] - [27/01/2013 12:12:39]

########## EOF - C:\AdwCleaner[S1].txt - [5083 octets] ##########

Malekal_morte- · Answer

Ca doit être bon :)

Andryale · Answer

Bonjour,

Tout d'abord merci Malekal_morte- de nous apporter ton aide précieuse.

J'ai les mêmes soucis avec mon ordinateur portable Asus, j'ai donc suivi le même diagnostic et voici les rapports :
-> OTL : http://pjjoint.malekal.com/files.php?read=OTL_20130321_k12l8r15q12i10
-> Extras : http://pjjoint.malekal.com/files.php?read=OTL_Extras_20130321_c5g9r11d12d14

Malekal_morte- · Answer

Salut,

Tu as fiat OTL puis AdWcleaner du coup sur OTL, il y a les éléments virés par AdwCleaner.
Faudrait refaire un scan OTL pour voir ce qu'il reste, mais à vu de nez, il doit falloir désinstaller Contribute Toolbar et Vuze.

Malekal_morte- · Answer

On peux toujours tenter de finir le nettoyage :
Désinstalle :
Contribute Toolbar.
Duuqu
Vuze


[*] Télécharger sur le bureau https://www.luanagames.com/index.fr.html (by tigzy) 
[*] Quitter tous les programmes 
[*] Lancer RogueKiller.exe. 
[*] Attendre que le Prescan ait fini ... 
[*] Lance un scan afin de débloquer le bouton Suppression à droite.
[*] Clic sur Suppression.
Poste le rapport ici.

!!! Je répète bien faire Suppression à droite et poster le rapport. !!!

Malekal_morte- · Answer

Salut Djessy , Désinstalle : MegaBrowser, MySearchDial, Offerbox, Smartbar Désactive les proxys : https://forums.commentcamarche.net/forum/affich-37640573-desactiver-son-proxy Faudrait faire un scan AdwCleaner comme indiqué dans mon premier message. Relance OTL. o sous Personnalisation (Custom Scan), copie_colle le contenu du cadre ci dessous (bien prendre :OTL en début). Clic Correction (Fix), un rapport apparraitra, copie/colle le contenu ici: :OTL SRV:[b]64bit:[/b] - [2014/02/04 17:35:36 | 001,859,376 | ---- | M] () [Auto | Running] -- C:\Windows\SysNative\dmwu.exe -- (IBUpdaterService) SRV - [2014/03/27 04:37:12 | 000,348,448 | ---- | M] () [Auto | Running] -- C:\Program Files (x86)\Mega Browse\updateMegaBrowse.exe -- (Update Mega Browse) SRV - [2014/03/27 04:04:07 | 000,348,448 | ---- | M] () [Auto | Running] -- C:\Program Files (x86)\Mega Browse\bin\utilMegaBrowse.exe -- (Util Mega Browse) SRV - [2013/06/20 19:41:16 | 000,336,704 | ---- | M] (Aedge Performance BCN SL) [Auto | Stopped] -- C:\Program Files (x86)\OfferBox\OfferBoxUpdateService.exe -- (OfferBox update service) IE - HKU\S-1-5-21-2493487-1276369722-2548199871-1000\SOFTWARE\Microsoft\Internet Explorer\Main,Search Bar = https://search.safefinder.com/?st=ds&q={searchTerms}&installDate=09/11/2013 [Pays US - 65.52.144.16] IE - HKU\S-1-5-21-2493487-1276369722-2548199871-1000\SOFTWARE\Microsoft\Internet Explorer\Main,Search Page = https://search.safefinder.com/?st=ds&q={searchTerms}&installDate=09/11/2013 [Pays US - 65.52.144.16] IE - HKU\S-1-5-21-2493487-1276369722-2548199871-1000\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = https://search.safefinder.com/?st=hp&q= [Pays US - 65.52.144.16] IE - HKU\S-1-5-21-2493487-1276369722-2548199871-1000\SOFTWARE\Microsoft\Internet Explorer\Search,Default_Search_URL = https://search.safefinder.com/?st=ds&q={searchTerms}&installDate=09/11/2013 [Pays US - 65.52.144.16] IE - HKU\S-1-5-21-2493487-1276369722-2548199871-1000\SOFTWARE\Microsoft\Internet Explorer\Search,SearchAssistant = https://search.safefinder.com/?st=ds&q={searchTerms}&installDate=09/11/2013 [Pays US - 65.52.144.16] IE - HKU\S-1-5-21-2493487-1276369722-2548199871-1000\..\SearchScopes,DefaultScope = {006ee092-9658-4fd6-bd8e-a21a348e59f5} IE - HKU\S-1-5-21-2493487-1276369722-2548199871-1000\..\SearchScopes\{006ee092-9658-4fd6-bd8e-a21a348e59f5}: URL = https://search.safefinder.com/?st=ds&q={searchTerms}&installDate=09/11/2013 [Pays US - 65.52.144.16] IE - HKU\S-1-5-21-2493487-1276369722-2548199871-1001\..\SearchScopes,bProtectorDefaultScope = {0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9} IE - HKU\S-1-5-21-2493487-1276369722-2548199871-1001\..\SearchScopes,DefaultScope = {006ee092-9658-4fd6-bd8e-a21a348e59f5} IE - HKU\S-1-5-21-2493487-1276369722-2548199871-1001\..\SearchScopes\{006ee092-9658-4fd6-bd8e-a21a348e59f5}: URL = https://search.safefinder.com/?st=ds&q={searchTerms} [Pays US - 65.52.144.16] O2 - BHO: (no name) - {26B19FA4-E8A1-4A1B-A163-1A1E46F830DD} - No CLSID value found. O2 - BHO: (no name) - {2EECD738-5844-4a99-B4B6-146BF802613B} - No CLSID value found. O2 - BHO: (no name) - {31ad400d-1b06-4e33-a59a-90c2c140cba0} - No CLSID value found. O2 - BHO: (no name) - {8e5025c2-8ea3-430d-80b8-a14151068a6d} - No CLSID value found. O4 - HKLM..\Run: [offerbox] C:\Program Files (x86)\OfferBox\OfferBox.exe (Aedge Performance BCN SL) O4 - HKLM..\Run: [SweetIM] C:\Program Files (x86)\SweetIM\Messenger\SweetIM.exe (SweetIM Technologies Ltd.) O4 - HKU\S-1-5-21-2493487-1276369722-2548199871-1001..\Run: [Browser Infrastructure Helper] C:\Users\Jessy\AppData\Local\Smartbar\Application\SnapDo.exe (Smartbar) [2014/03/17 20:53:52 | 000,000,000 | ---D | C] -- C:\Program Files (x86)\Mega Browse [2014/03/23 14:36:26 | 000,000,000 | ---D | C] -- C:\Users\Jessy\AppData\Roaming\mysearchdial [2014/03/23 14:36:26 | 000,000,000 | ---D | C] -- C:\Program Files (x86)\Mysearchdial [2014/03/02 12:01:13 | 000,000,000 | ---D | C] -- C:\Program Files (x86)\Amazon [2014/03/02 12:00:08 | 000,000,000 | ---D | C] -- C:\Program Files (x86)\MyPC Backup [2014/03/23 14:36:39 | 000,000,292 | ---- | C] () -- C:\Windows asks\MySearchDial.job [2013/11/14 20:02:17 | 000,000,000 | ---D | M] -- C:\Users\Jessy\AppData\Roaming\BabSolution [2012/08/22 09:42:53 | 000,000,000 | ---D | M] -- C:\Users\Jessy\AppData\Roaming\Babylon [2012/08/22 09:43:11 | 000,000,000 | ---D | M] -- C:\Users\Jessy\AppData\Roaming\BabylonToolbar [2013/11/03 21:27:48 | 000,000,000 | ---D | M] -- C:\Users\Jessy\AppData\Roaming\File Scout [2014/03/23 14:36:37 | 000,000,000 | ---D | M] -- C:\Users\Jessy\AppData\Roaming\mysearchdial [2013/06/27 21:22:39 | 000,000,000 | ---D | M] -- C:\Users\Jessy\AppData\Roaming\OfferBox [2014/03/21 00:29:01 | 000,000,000 | ---D | M] -- C:\Users\Jessy\AppData\Roaming\SoftGrid Client * poste le rapport ici

pseudonyme31 · Answer

Bonjour,

Mon ordi ayant quelques soucis ces temps ci j'ai parcouru les processus en cours d'éxecution et ait trouvé les suivants, les mêmes que ceux décrits précédemment dans ce fil de discussion.
nvvsvc.exe
nvxdsync.exe
csrss.exe
winlogon.exe

Etant donné que ce sont les seuls pour lesquels les liens "Propriétés" et "Ouvrir l'emplacement" ne fonctionnent pas (clic droit depuis gestionnaire des taches), ils me paraissent louches.

Après avoir lancé OTL, avec le script donné plus haut, voici les fichiers:
OTL.txt: https://pjjoint.malekal.com/files.php?id=20140502_r7s8j7g12k12
Extra.txt: https://pjjoint.malekal.com/files.php?id=20140502_l10n15n8m14l9

Merci de votre aide!

goose91 · Answer

Une vraie solution pour tous ces Malwares et programmes résidents inutiles qui ralentissent les process !  IObit Suite. Elle est gratuite ! Et vous débarrassera des plus méchantes attaques de Malwares et autres Spywares ... Si comme moi vous en êtes satisfait ... Pourquoi ne pas investir quelques euros pour une véritable protection ? Avant de découvrir ce soft, je faissais et fait toujours confiance à System Mechanics un soft qui a été un des premiers à proposer sous licence Microsoft un nettoyage de votre PC. Les Avaast Ccleaner et autres Tool Box n'ont fait que le copier !!! 
Pépites du Net :
Tapez donc Dejanews dans votre moteur de recherche préféré ! Vous verrez que Google une jeune société avec des moyens financiers (Voire aucun car aux US quand une idée est bonne , les capitaux risques viennent à vous !) a racheté Dejanews qui avait déjà la performance du Google que l'on connaît. Personne n'en parle jamais ...

Quels sont les fichiers csrss.exe, nvvsvc.exe, NvXDSync.exe etc.

10 réponses

Discussions similaires